ポリシーのベストプラクティスアクセス許可の割り当て SCP でアクセス管理 Amazon Q リソースのデータ境界

ポリシーを使用して Amazon Q Developer へのアクセスを管理する

注記

このページの情報は、Amazon Q Developer へのアクセスに関するものです。Amazon Q Business へのアクセス管理の詳細については、「Amazon Q Business デベロッパーガイド」の「Identity-based policy examples for Amazon Q Business」を参照してください。

このトピックのポリシーおよび例は、AWS Management Console、AWS Console Mobile Application、AWS ウェブサイト、AWS Documentation、AWS Chatbot の Amazon Q 固有のものです。Amazon Q と統合された他のサービスは、異なるポリシーや設定が必要になる場合があります。サードパーティー IDE の Amazon Q のエンドユーザーは、IAM ポリシーを使用する必要はありません。詳細については、Amazon Q の機能または統合を含むサービスのドキュメントを参照してください。

デフォルトでは、ユーザーとロールには Amazon Q を使用するアクセス許可がありません。IAM 管理者は、IAM ID にアクセス許可を付与することで、Amazon Q Developer とその機能へのアクセスを管理できます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、AWS マネージドポリシーを介した方法です。AmazonQFullAccess ポリシーを IAM ID にアタッチして、Amazon Q Developer とその機能へのフルアクセスを許可できます。このポリシーの詳細については、「Amazon Q Developer の AWS マネージドポリシー」を参照してください。

IAM ID が Amazon Q Developer で実行できる特定のアクションを管理するには、ユーザー、グループ、ロールが持つ許可を定義するカスタムポリシーを作成できます。また、サービスコントロールポリシー (SCP) を使用して、組織で使用できる Amazon Q の機能を管理することもできます。

ポリシーで管理できる Amazon Q のアクセス許可の全一覧については、「Amazon Q Developer のアクセス許可リファレンス」を参照してください。

トピック

ポリシーのベストプラクティス
アクセス許可の割り当て
サービスコントロールポリシー (SCP) を使用してのアクセス管理
Amazon Q リソースのデータ境界
Amazon Q Developer のアイデンティティベースのポリシー例

ポリシーのベストプラクティス

アイデンティティベースのポリシーは、誰がユーザーのアカウントの Amazon Q Developer リソースを作成、アクセス、削除できるどうかを決定します。これらのアクションを実行すると、AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

AWS マネージドポリシーを使用して開始し、最小特権の許可に移行する – ユーザーとワークロードへの許可の付与を開始するには、多くの一般的なユースケースのために許可を付与する AWS マネージドポリシーを使用します。これらは AWS アカウントで使用できます。ユースケースに応じた AWS カスタマー管理ポリシーを定義することで、許可をさらに減らすことをお勧めします。詳細については、「IAM ユーザーガイド」の「AWSマネージドポリシー」または「ジョブ機能の AWS マネージドポリシー」を参照してください。
最小特権を適用する – IAM ポリシーで許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、IAM ユーザーガイドのIAM でのポリシーとアクセス許可を参照してください。
IAM ポリシーで条件を使用してアクセスをさらに制限する - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。また、AWS CloudFormation などの特定の AWS のサービスを介して使用する場合、条件を使用してサービスアクションへのアクセスを許可することもできます。詳細については、「IAM ユーザーガイド」の [IAM JSON policy elements: Condition] (IAM JSON ポリシー要素:条件) を参照してください。
IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、「IAM ユーザーガイド」の「IAM Access Analyzer でポリシーを検証する」を参照してください。
多要素認証 (MFA) を要求する – AWS アカウントで IAM ユーザーまたはルートユーザーを要求するシナリオがある場合は、セキュリティを強化するために MFA をオンにします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、「IAM ユーザーガイド」の「MFA を使用した安全な API アクセス」を参照してください。

IAM でのベストプラクティスの詳細については、IAM ユーザーガイドのIAM でのセキュリティのベストプラクティスを参照してください。

アクセス許可の割り当て

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

AWS IAM Identity Center のユーザーとグループ:

アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
IAM 内で、ID プロバイダーによって管理されているユーザー:

ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。
IAM ユーザー:
- ユーザーが担当できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。
- (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。

サービスコントロールポリシー (SCP) を使用してのアクセス管理

サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。Amazon Q Developer アクションの一部またはすべてに対して許可を指定する SCP を作成することにより、組織で利用できる Amazon Q Developer の機能を管理できます。

SCP を使用して組織内のアクセスを管理する方法の詳細については、「AWS Organizations ユーザーガイド」の「サービスコントロールポリシーの作成、更新、削除」および「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

次の内容は、Amazon Q へのアクセスを拒否する SCP の例です。このポリシーは、Amazon Q のチャット、コンソールエラーのトラブルシューティング、ネットワークのトラブルシューティングへのアクセスを制限します。

注記

Amazon Q へのアクセスを拒否しても、AWS コンソール、AWS ウェブサイト、AWS ドキュメントページ、または AWS Console Mobile Application の Amazon Q アイコンまたはチャットパネルは無効になりません。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Amazon Q リソースのデータ境界

一部の機能では、Amazon Q は AWS のサービスが所有する Amazon S3 バケットにアーティファクトをアップロードします。データ境界を使用して環境内の Amazon S3 へのアクセスを制御する場合は、対応する Amazon Q の機能を使用するために、これらのバケットへのアクセスを明示的に許可する必要があるかもしれません。

次の表に、Amazon Q がアクセスする必要のある各 Amazon S3 バケットの ARN と URL、および各バケットを使用する機能を示します。これらのバケットを許可リストに登録するには、Amazon S3 へのアクセス制御の方法に応じて、バケット ARN またはバケット URL を使用します。

Amazon S3 バケットの ARN	Amazon S3 バケットの URL	説明
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Amazon Q コードスキャンのアーティファクトをアップロードするために使用される Amazon S3 バケット
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Amazon Q Developer Agent for code transformation のアーティファクトをアップロードするために使用される Amazon S3 バケット
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Amazon Q Developer Agent for software development のアーティファクトをアップロードするために使用される Amazon S3 バケット

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Q が IAM で機能する仕組み

Amazon Q のアイデンティティベースのポリシー例